Anchore Enterprise (セキュリティ対策ツール)

マルウェアやセキュリティ脆弱性の検出と対策

OCI(Docker)イメージのスキャンと分析を行い、マルウェアやセキュリティ脆弱性を識別します。これにより、コンテナイメージ内のセキュリティリスクを特定し、修正することができます。

また、Singularityの開発元であるSylabs社とも連携しており、Singularity独自のコンテナイメージ形式であるSIFの利用も、OCIイメージを介することで可能になっています。

Singularityとは？＞

コンプライアンスの遵守

カスタムポリシーの定義と適用をサポートし、セキュリティポリシーやコンプライアンス要件に準拠することができます。これにより、企業は法的な規制や業界標準に適合し、セキュリティに関する規制要件を満たすことができます。

CI/CDパイプラインへの統合

Anchore Enterpriseは、CI/CDパイプラインに統合することができます。これにより、開発プロセスの自動化とセキュリティの監視を強化し、早期段階でのセキュリティの問題を検出して修正することが可能です。

Anchore Enterprise は、セキュリティ チームがクラウド ネイティブ アプリケーション内のすべてのソフトウェアを検索できるようにし、セキュリティ問題を数日ではなく数分でブロックして修正することができるような環境を提供します。

Anchore Enterprise の概要

Anchore Enterprise は、SBOM (Software Bill of Materials、ソフトウェア部品表によりコンポーネントを管理し脆弱性への対応に有効) による最新のソフトウェア構造分析 (SCA) プラットフォームであり、セキュリティ担当者はクラウドネイティブアプリケーションのあらゆるソフトウェアコンポーネントを特定することができるようになります。

包括的な VIPERR フレームワークを活用することで、信頼性の高いレポートを備えます。隅々まで対応するソフトウェアサプライチェーンセキュリティーシステムは、完全な可視化や詳細な検査、実行の自動化、迅速な修復を提供します。Anchore Enterprise は完全な API の互換性を持ち、既存の DevOps ツールとプロセスを統合することで、ソフトウェアサプライチェーンにおける問題の管理を自動化し、ソフトウェア開発ライフサイクル (SDLC) を通じた問題の以降を防止します。

Anchore は、DevOps プロセスの各ステップでセキュリティチェックを自動化し、より簡潔でより素早く開発することができる最適化された開発環境を提供します。

これまでの開発環境では、セキュリティ対策に時間を要して開発速度が大きく低下するということが問題になってきましたが、Anchore Enterprise は、数日必要だった対策を数分で行えるようにセキュリティ問題を明らかにして修正することができる様々な機能を有しています。

Anchore Enterprise は、ソフトウェアサプライチェーンをセキュリティリスクから保護すると同時に、より簡潔でより素早く開発することができる最適化された開発環境を提供します。Anchore Enterprise は忠実度の高い SBOM を使用してオープンソースの依存関係を継続的に可視化して、脆弱性やマルウェア、設定の誤りなどの問題となりえる原因を正確に特定することができます。柔軟にポリシーを制御することで重要な問題に集中することができるようになり、業界標準のコンプライアンスを確保することができます。

1　ソース

ソースコードをスキャンし、使用される依存関係のSBOMを生成。

ビルド前にソースコードの脆弱性を評価し、SOC 2、HIPAAへの準拠を自動チェック。

2　構築

CIジョブとして統合され、CIランナー上でビルドをスキャンしてポリシー評価を実行。

ビルドが生成されるたびに、コンプライアンスと脆弱性をチェック。安全でないビルドがアーティファクトレジストリに移動するのを防ぐ。

3　ステージング

指定されたリポジトリを継続的にスキャンし、コンテンツの変更やセキュリティ上の問題をチェック。

新しい脆弱性の影響を評価するためにコンテンツの再スキャンは不要。
ゼロデイイベントに対応したコンテンツの検索が可能（例：Log4sgell）

4　デプロイ

アドミッションコントローラーはAnchoreにコールバックし、安全なコンテンツのみが展開されるようにする。

CIやレジストリの段階でスキャンされなかった安全でないコンテンツは、本番環境に投入されないようにする。

5　実装

Kubernetesで稼働しているイメージのインベントリが継続的に生成され、Anchoreに送信される。

本番稼動中の脆弱性を可視化。
ゼロデイによって影響を受けなければならないクラスタとアプリケーションのトリアージを支援。

隅々まで対応するソフトウェアサプライチェーンセキュリティ

ソースコードのリポジトリや CI/CD パイプライン、コンテナのレジストリとランタイム環境など、ソフトウェアサプライチェーンのあらゆる段階でセキュリティリスクをスキャンして分析します。

マルチレベルの依存関係の検出

アーカイブファイルとネスト関係にあるものお含め、直接的および推移的なオープンソースの依存関係とライセンス問題に対応します。これにより重要な脆弱性を見逃さないようにすることができます。

忠実性の高いSBOM

各コンポーネントの広範なメタデータが含まれているため、Anchore Enterprise は特定のディストリビューションの脆弱性をピンポイントで特定し、誤検出を減らすことができます。

SBOMドリフト検知

ビルドごとにSBOM の変更を追跡し、新たな依存関係の発生や、侵害されたソフトウェアライセンス、ビルドに侵入しようとする悪意のある試みによって引き起こされる予期せぬ変更をセキュリティ担当者に警告します。

フォールスポジティブ（偽陽性）管理

修正すべき脆弱性を特定し、許容リストを作成して誤検出された問題を修正 することで不要な作業を減らすことができます。

導入後の脆弱性モニタリング

ソフトウェアアプリケーションの SBOM を継続的に分析し、新たに発生した脆弱性について影響やゼロデイ問題に影響する個所を即座に特定することができます。

100%のAPIカバレッジとビルド済みの統合

ソースコードのリポジトリや発券システム、CI/CD パイプライン、コンテナレジストリ、コンテナタイムライン環境を容易に統合し、開発者に使いやすい環境を提供します。

自動化された修復の推奨とワークフロー

修正情報を共有することができ、セキュリティ担当者と開発担当者がより密接に協力して迅速に問題を修正できる環境を作ります。

柔軟なポリシー

柔軟にポリシールールをせっていすることができ、SBOM やセキュリティ問題から得られたメタデータに基づいて、開発プロセスやデプロイメント・プロセスにおける通知やポリシーゲートの変更が可能です。

すぐに使えるポリシーパック

導入後に速やかに使用することができることを意味し、CIS や Docker BenChmarks、NIST、FedRAMP、HIPAA、PCI DSS、CISA、DISA 等に準拠するプロセスを自動化します。

簡単で使いやすいレポート機能

レポート機能は簡単で使いやすく、開発者とセキュリティ担当者はセキュリティ問題に関する状況を評価し、問題を明確にして進捗を共有することができます。

レポーティング・監査

ポリシーの実施・コンプライアンス

ポリシーパック / カスタムポリシー / 通知 / ポリシーゲート

セキュリティ検査・修復

脆弱性 / マルウェア / 暗号解読者 / 機密

SBOMマネジメント

SBOM生成 / 格納 / 分析 / 監視

Anchore はソフトウェアセキュリティサプライチェーンのリーダーです。Anchore のテクノロジーは、ソフトウェア開発プロセスの各段階において継続的なセキュリティとコンプライアンスチェックをシームレスに組み込むことができ、セキュリティリスクが本番環境で生じることを防ぎます。